Skattesäsongen är officiellt i bakvattnet, vilket innebär att de flesta av oss andas en suck av lättnad. Men vissa av oss är fortfarande oroliga. Det handlar inte om risken att bli granskad (som är liten, om än skrämmande), utan snarare om rädslan för att vi ska få vår identitet stulen.

Om du är egenföretagare – oavsett om du är en Uber-chaufför, en Etsy-konstnär eller något mindre 21:a århundradet (som en frilansjournalist) – är de företag som betalar dig enligt lag skyldiga att tillhandahålla en 1099 för att hjälpa dig att förbereda din skatt. I och med explosionen av ”delningsekonomin” får fler människor dessa dokument i stället för W-2s, det skatteformulär som är reserverat för anställda. Företagen skickar fysiskt ut 1099-blanketter, men eftersom misstag kan hända, skattedatum är orubbliga och Internet är så bekvämt, skickar vissa ekonomiavdelningar ut dessa blanketter via e-post i stället.

Och ofta skickar de ut dessa skatteblanketter okrypterat, trots att det är vårdslöst att göra det. Det beror på att dessa dokument innehåller känsliga uppgifter som personnummer och att e-post är ett utmärkt mål för hackare som letar efter identiteter att stjäla.

Om du inte tror att detta kan hända dig, tänk då på följande. Under de senaste sex åren har mer än ett halvt dussin personer mejlat mig okrypterade finansiella blanketter som innehåller personligt identifierande information. Ett företag – ett stort amerikanskt varumärke som omsätter flera miljoner dollar – har till och med gjort det två gånger.

”Socialförsäkringsnummer är mer känsliga och mer värdefulla än någonsin”, säger Rob Douglas, en säkerhetskonsult som specialiserat sig på identitetsstölder och bedrägerier. Douglas vittnade för första gången inför kongressen om att skydda personlig identifieringsinformation 1998. Sedan dess är det enda som har förändrats hur lätt det har blivit för bedragare att ta våra känsliga siffror.

Från den massiva graden av identitetsstöld som är kopplad till Office of Personnel Management-hacket till de miljarder som gått förlorade i skatteåterbäringsbedrägerier är det tydligt att det finns många saker som skurkar kan göra med ditt socialförsäkringsnummer. ”Kriminella älskar det här brottet, eftersom det är ett brott som lönar sig och det finns så lite intresse från åklagare”, säger Douglas. Polisen i San Diego kommer till exempel inte ens att titta på ett fall av identitetsstöld om det inte handlar om minst 40 000 dollar, säger han, eftersom det finns så många fall av identitetsstöld. Föreställ dig att du får den summan från ditt bankkonto i dag och inte hittar någon som är villig att hjälpa dig i morgon.

Så naturligtvis skulle du anta att det är olagligt att behandla någons livsviktiga information så vårdslöst, eller hur? Fel. Även om socialförsäkringsnumret är en federal identifierare har delstaterna befogenhet att bestämma hur de ska hanteras, vilket innebär att protokollen varierar. För närvarande är det bara 12 delstater som begränsar den fysiska postgången av personnummer, men ingen delstat förbjuder att de skickas via e-post. Återigen: Det är helt lagligt att skriva någons personnummer i ett e-postmeddelande.

Det är ett problem. Även om vi kan känna att e-post är säkert, och även om leverantörer som Apple, Google och Microsoft har gjort det så att meddelanden som skickas och tas emot från adresser inom deras domän (t.ex. gmail.com) är säkra, så är allting fel när ett meddelande börjar korsa den öppna webben.

När e-postmeddelanden sänds flyttas de vanligtvis från programvaran på den avsändande datorn till servrar som kallas för e-postöverföringsagenter. De kommer troligen att gå genom flera av dessa noder tills de når mottagaren. Mellan dessa reläer är e-postmeddelandena krypterade, men när de når en server är de okrypterade, lästa och sedan återkrypterade innan de skickas vidare till nästa nod. Milton Mueller, professor i offentlig politik vid Georgia Institute of Technology, varnar för att denna process kan vara ”ofullständig” när det gäller säkerheten. ”Meddelandenas innehåll avslöjas för och kan ändras av mellanliggande e-postreläer”, säger han.

Mueller säger att problemet är att e-postnoderna förvaltas oberoende av varandra, så en nods krypteringspolicy kan vara något oförenlig med en annan nods. Och vissa noder kan till och med vara komprometterade, så att hackare kan få tillgång till all information som flödar genom dem.

Du kan ändå skydda dina data genom att kryptera filer som innehåller privat information. Senast begärde jag att de skulle göra detta med det stora amerikanska varumärket. Till min förvåning visste inte bara en ekonomiexpert på detta Fortune 500-företag inte hur man krypterar en PDF-fil, utan inte heller dess tekniska team. (Det är lika enkelt som att kryssa i en ruta.) ”Människor som borde veta hur man krypterar – särskilt när det gäller känslig finansiell information – det är inte så att de inte vet hur man gör det, det finns inte ens i deras protokoll”, säger Douglas. ”Det är otroligt att vi inte har fått ordning på den här frågan.”

Jag berättade för det här företaget exakt hur jag skulle kryptera min fil, och ändå skickades den fortfarande oskyddad. Vad krävs för att få människor att respektera andras privata uppgifter och hantera dem på ett ansvarsfullt sätt, precis som de skulle göra med sin egen känsliga information? Douglas säger att det kräver att finanspersonal slutar att betrakta dessa vitala uppgifter som detaljer, som bara siffror på en sida, och i stället ser dem för vad de är: en persons ekonomiska identitet.

Men det är osannolikt att det kommer att göra en tillräckligt stor skillnad. I stället tror Douglas att det enda som kommer att förändra det nonchalanta sätt på vilket människor hanterar personnummer via e-post eller på papper skulle vara ”en tragedi av sådan art med fysisk skada för vissa människor att det chockerar nationens samvete”.

Den 15 oktober 1999 mördades till exempel den 20-åriga Amy Boyer framför sin lägenhet av Liam Youens, en förföljare som hittade Boyers adress efter att ha köpt hennes personnummer från en webbplats. Han sköt henne flera gånger innan han riktade vapnet mot sig själv. I den upprördhet som följde presenterades ”Amy Boyers lag” för att förhindra att någons personnummer visas eller säljs. Lagen antogs aldrig, så den samvetskick som Douglas hänvisade till har ännu inte kommit.

Och trots att mitt personnummer går runt på Internet som en färgvakt har jag inte fallit offer för identitetsstöld eller något annat bedrägeri. Det är min förhoppning att jag är oskadd, men Douglas är inte lika optimistisk. ”Jag tvivlar inte på att du finns där ute”, säger han. ”Statistiskt sett flera gånger om.”

Kontakta oss på [email protected].